NormShield Siber Tehdit İstihbaratı pfSense Entegrasyonu

Türkiye’ye yönelik siber saldırıları düzenli olarak izleyen ve müşterilerini hedef alan potansiyel tehditleri önceden tespit eden ve bildiren “NormShield Cyber Intelligence” modülü, 1 Haziran 2016 tarihi itibariyle fidyeci zararlı yazılımlar (ransomware) tarafından kullanılan sahte alan adlarını ücretsiz olarak paylaşmaya başladı.

Oltalama saldırıları ve fidyeci zararlı yazılım salgınları için siber tehditlere yönelik erken uyarı sistemi mantığıyla çalışan “NormShield Cyber Intelligence”, Türkiye’deki kurumları ve kurum çalışanlarını hedef alabilecek saldırıları önceden tespit ederek üyelerini bilgilendiriyor.

NormShield’ in sunduğu bu ücretsiz hizmetten faydalanmak için https://reputation.normshield.com adresindeki talep formunun doldurulması yeterli oluyor. Talep formları, yetkililer tarafından 2 saat içinde inceleniyor ve aksi bir durum olmadıkça onaylanmaktadır.

Normshield tarafından sağlanan istihbarat verileri “txt” ve “stix” formatında olup doğrudan DNS sunucu ve  güvenlik cihazları ile entegre edilebilmektedir. Bu sayede istihbarat verisi paylaşılır paylaşılmaz kurum kullanıcıları bu tehditlere karşı otomatik korunmuş olur.

Repütasyon servisi, sahte alan adı tespitini sağlama şeklinde olup günde 4 defa repütasyon taraması gerçekleştiriyor. NormShield Cyber Intelligence hizmeti hakkında detay bilgi almak için https://www.normshield.com/cyber-threat-intelligence/ adresi incelenebilir.

Üyelik İşlemleri

https://reputation.normshield.com adresini ziyaret ederek kurumsal e-posta adresiniz ile kayıt olabilirsiniz. Kayıt olduktan sonra destek ekibimiz tarafından incelenecek ve bir aksilik yoksa 2 saat içinde üyeliğiniz onaylanacaktır.

Bağlantılar:

https://reputation.normshield.com/domain/fraudulent/text/

https://reputation.normshield.com/domain/fraudulent/stix/

pfSense Güvenlik Duvarı için Yapılandırmalar

Bu yazıda pfsense güvenlik duvarında pfBlockerNG paketini kullanarak normshield’ın sağlamış olduğu zararlı/sahte alan adlarının bulunduğu URL adresini kullanarak zararlı alan adlarının nasıl yasaklanacağına değinilecektir. pfBlockerNG, özel blok listesi, IP filtreleme ve ülke bazlı yasak işlevlerinin kullanılmasına izin veren pfSense sürüm 2.x üzeri için bir pakettir. Kötü amaçlı alan adlarını filtrelemek ve dahili ağı, bilgisayarları ve kullanıcıları bu kötü niyetli domain adreslerinden veya fidye olayına maruz kalmamaları için oluşturulmuş ve pfsense paket deposuna eklenmiş bir pakettir.

pfBlockerNG Özellikleri

Aşağıda pfBlockerNG aracına ait özellikler yer almaktadır. Tüm özelliklere değinilmemiştir, sadece önemli olan özelliklere değinilmiştir.

  • Kötü niyetli / sahte web sitelerini bir liste olarak yasaklayabilir.
  • Kötü niyetli / sahte ip adreslerini bir liste olarak yasaklayabilir. IPv4&IPv6
  • Ülke bazlı yasaklama.
  • pfBlockerNG kullanan başka bir pfsense ile senkronize edilebilir.
  • Diğer küçük fakat kullanışlı özellikler.

Paket Kurulumu

Ana menüde System > Package Manager > Available Packages sekmesi üzerinden pfBlockerNG paketini karşısındaki + butonuna tıklayarak kurunuz.

Paket kurulduktan sonra, Firewall > pfBlockerNG sekmesine giriniz. “General” sekmesinde aşağıdaki seçenekleri aktifleştiriniz.

Enable pfBlockerNG : pfBlockerNG aktif edilir.

CRON Settings : Cron aracının çalışma aralıklarını buradan belirtebilirsiniz.

Global Logging : Güvenlik duvarı kuralı günlüğe kaydetme – [Durum: Sistem Günlüğü: FIREWALL Günlüğü] için Genel günlüğü etkinleştir. ( DNSBL buna dahil değil! )

Logfile Size : pfblockerng.log, geoip.log, extras.log ve dnsbl.log dosyalarında girdileri saklamak üzere satır sayısını seçin. Varsayılan : 20000

Interface/Rules Configuration

“General” sekmesinden ayrılmadan önce en alt satıra inilir. Bu sekme altında ağ arabirimlerini belirleme ve engelleme türü ayarlanır.

Inbound Firewall Rules :  Otomatik kuralları uygulamak istediğiniz giriş arayüzlerini seçininiz.

Outbound Firewall Rules : Otomatik kuralları uygulamak istediğiniz giriş arayüzlerini seçininiz.

  • Block : Paketi “drop” eder yani durdurur ve karşıya herhangi bir hata mesajı döndürmez.
  • Reject : Paketi “drop” eder yani durdurur ve karşı tarafa bir ICMP hata mesajı döndürür.

DNSBL

DNSBL, DNS çözümleyici DNS hizmeti olarak kullanılmaktadır.  DNSBL ‘de listenen bir domain için dns isteği yapıldığında, yapılan istek DNSBL üzerinde barınan sanal ip adresine yönlendirilir.

pfBlockerNG menüsü üzerinden DNSBL sekmesine girilir. Bu sekme içerisinde aşağıdaki gibi ayarlar yapıldıktan sonra “Save” butonuna tıklayarak ayarlar kaydedilir.

Info : Buradan sekme üzerindeki özelliklerin ne işe yaradıkları hakkında bilgi edinebilirsiniz.

DNSBL IP Firewall Rule Settings

Buradan firewall kurallarını ayarlıyoruz. Uygulanacak eylem, girilecek olan listelerin engellenip/engellenmeyeceğini belirtecektir. Ayarları kaydetmeyi unutmayınız.

DNSBL Feeds

Buradan bir URL uzantısında (example.org/domains.txt) dosya belirterek domain bazlı engelleme yapabiliyorsunuz. DNSBL Feeds sekmesine girdikten sonra + butonuna tıklayarak kural oluşturulur. Ayarları yaptıktan sonra “Save” butonuna tıklamayı unutmayınız.

DNS Group Name: Bir grup ismi giriniz. ( örnk: normshield )

DNSBL : Aşağıdaki resimdeki gibi ayarlar yapılması önerilir. Bazı alanları size uygun olacak şekilde değiştirebilirsiniz.

Add : Bu butona tıklayarak bir grup içerisinde birden fazla link oluşturulabilir.

List Action : Bu grup için “Domain Name” engellemeyi etkinleştirmek için ‘Unbound’ seçeneği seçiniz.

Update Frequency : Güncelleme aralığı seçilir. Liste dosyalarının ne sıklıkta indirileceğini seçiniz.

Update 

Son olarak “Update” sekmesi üzerinden güncelleme yaparak normshield’in sağladığı sahte alan adlarını bir grup olarak indirilmesi sağlanır. Güncelleme sonrası çıktı aşağıdaki çıktıya benzer olacaktır.

Aynı zamanda DNSBL gruplarının etkinliğini pfSense kontrol panelinde de görebilirsiniz.

Alerts

Engellenen sitelere girmeye çalışan kullanıcıları buradan görebilirsiniz. Bu sekme üzerinden aynı zamanda kullanıcılar üzerinde çeşitli kurallar uygulanabilir.

Öncesi/Sonrası

pfBlockerNG kurulmadan önce ve sonrasına ait iki adet resim aşağıda paylaşılmıştır. Yasaklı bir web sitesine girildiği zaman web sitesinin üst köşesinde varsayılan olarak (1×1) şeklinde bir hata kodu verir.

Öncesi:

Sonrası:

Hata Kodlarını Özelleştirmek

Yasaklı bir web sitesine girildiği zaman hazırlamış olduğunuz bir hata kodunu veya bir resmi ekrana bastırmak isteyebilirsiniz. Hazırladığınız bir resmi (https://www.base64-image.de) siteden base64 formatında sıkıştırıp ardından pfsense üzerinde pfblockerng‘in index.php dosyasında uygun bir yere koyarak istediğimiz resmi hata resmi olarak bastırabiliriz.

pfSense komut satırına girdikten sonra ee, nano, vi, vim editör araçlarını kullanarak /usr/local/www/pfblockerng/www /index.php dosyasını içerisine giriniz. Daha sonra aşağıdaki resimde gördüğünüz gibi echo base64 … ile başlayan satırın başına iki tane // ifadesi koyulur ve yorum satırı yapılır. Daha sonra bizim base64 ile sıkıştırdığımız resmi ve elde ettiğimiz kodu aşağıdaki gibi yazılır ardından dosyayı kaydedip çıkabilirsiniz.

Son olarak yasaklı bir siteye gitmeye çalıştığınız zaman hazırlamış olduğunuz resim karşınıza çıkacaktır.

Kaynak: İbrahim Uçar

Add a Comment

Your email address will not be published. Required fields are marked *